1、中华人民共和国国家标准信息技术开放系统互连目录第部分抽象服务定义发布实施国家技术监督局发布前言本标准等同采用国际标准信息技术开放系统互连目录第部分抽象服务定义和信息技术开放系统互连目录第部分抽象服务定义技术修改信息技术开放系统互连目录第部分抽象服务定义技术修改信息技术开放系统互连目录第部分抽象服务定义技术修改以及信息技术开放系统互连目录第部分抽象服务定义技术修改根据本标准对和附录作了修改根据本标准对和附录作了修改根据本标准对和附录作了修改根据本标准对和附录作了修改通过制定本标准为用户定义了目录所提供的外部可视服务在信息技术开放系统互连目录总标题下目前包括以下个部分第部分即概念模型和服务的概述第
2、部分即模型第部分即抽象服务定义第部分即分布操作过程第部分即协议规范第部分即选择属性类型第部分即选择客体类第部分即鉴别框架本标准的附录和附录均是标准的附录本标准由中华人民共和国电子工业部提出本标准由电子工业部标准化研究所归口本标准起草单位电子工业部标准化研究所华北计算技术研究所本标准主要起草人冯惠李卫国黄家英郑洪仁前言国际标准化组织和国际电工委员会是世界性的标准化专门机构国家成员体它们都是的成员国通过国际组织建立的各个技术委员会参与制定针对特定技术范围的国际标准和的各技术委员会在共同感兴趣的领域内进行合作与和有联系的其他官方和非官方国际组织也可参与国际标准的制定工作对于信息技术和建立了一个联合技
3、术委员会即由联合技术委员会提出的国际标准草案需分发给国家成员体进行表决发布一项国际标准至少需要的参与表决的国家成员体投票赞成国际标准是由信息技术联合技术委员会制定的在信息技术开放系统目录总标题下包括以下个部分第部分概念模型和服务的概述第部分模型第部分抽象服务定义第部分分布式操作规程第部分协议规范第部分选择属性类型第部分选择客体类第部分鉴别框架本部分包含个附录附录和附录构成了的一部分引言本标准连同本系列标准的其他部分一起便于提供目录服务的各类信息处理系统的互连所有这样的系统连同它们所拥有的目录信息可以看作一个整体称为目录目录中收录的信息总称为目录信息库并用于简化诸如应用实体人终端以及分布列表等客
4、体之间的通信目录在开放系统互连中具有极其重要的作用其目的是允许在互连标准之外使用最少的技术协定完成下列各类信息处理系统的互连来自不同厂家的信息处理系统处于不同管理的信息处理系统具有不同复杂程度的信息处理系统不同年代的信息处理系统本标准定义了目录为其用户提供的能力附录给出了包含所有与抽象服务有关的定义的表示模块中华人民共和国国家标准信息技术开放系统互连目录第部分抽象服务定义国家技术监督局批准实施第一篇综述范围本标准按抽象方法定义了目录所提供的外部可视服务本标准并不规定具体实现或产品引用标准下列标准中所包含的条文通过在本标准中引用而构成为本标准的条文本标准出版时所示版本均为有效所有标准都会被修订使
5、用本标准的各方应探讨使用下列标准最新版本的可能性信息处理系统开放系统互连基本参考模型信息技术开放系统互连目录第部分概念模型和服务的概述信息技术开放系统互连目录第部分模型信息技术开放系统互连目录第部分分布式操作规程信息技术开放系统互连目录第部分协议规范信息技术开放系统互连目录第部分选择属性类型信息技术开放系统互连目录第部分选择客体类信息技术开放系统互连目录第部分鉴别框架信息处理系统开放系统互连抽象语法记法一规范信息技术文本通信面向信报的文本交换系统第部分抽象服务定义约定信息处理系统文本通信远程操作第部分模型记法和服务定义信息处理系统文本通信远程操作第部分协议规范定义基本目录定义本标准使用中定义的
6、下列术语目录目录信息库目录用户目录模型定义本标准使用中定义的下列术语目录系统代理目录用户代理目录信息库定义本标准使用中定义的下列术语别名项目录信息树目录项直接上级直接上级项客体客体客体类客体项下级上级目录项定义本标准使用中定义的下列术语属性属性类型属性值属性值断定名字定义本标准使用中定义的下列术语别名可辨别名目录名声称名相关可辨别名分布式操作定义本标准使用中定义的下列术语链接参照指示抽象服务定义本标准定义下列术语筛选器对一个目录项的某些属性的值是否出现的断定以便限制搜索的范围服务控制作为抽象操作的一部分被运送的参数它限制其性能的各个方面始发者发起操作的用户缩略语本标准使用下列缩略语属性值断定目
7、录信息库目录信息树目录管理域目录系统代理目录用户代理相关可辨别名约定本标准使用中定义的抽象服务定义约定第二篇抽象服务目录服务概述正如中所述目录服务是通过的服务访问点来提供的每一个访问动作代表一个用户其原理如图所示图对目录的访问原则上说目录的访问点可以具有不同的类型提供不同的服务组合重要的是可以将目录看成是一个客体并支持多个类型的端口每个端口定义目录与之间一类特定的交互作用而每个访问点则负责一组特定的端口类型的组合使用中定义的记法可将目录定义如下目录通过以下各种端口提供操作读端口支持从中某个特定命名的项中读信息搜索端口允许对进行探查修改端口允许对中的项进行修改注可望未来有其他类型的目录端口与此类
8、似从目录的角度来看可将定义如下使用目录所提供的服务可将到中援引的端口定义如下以及的操作分别在第第和第章中定义这些端口只作为目录服务描述的一个构造方法来使用与目录操作的一致性在中予以规定信息类型综述本章标识和在某些情况下定义后面的目录操作定义中使用的若干信息类型这里所涉及的信息类型是那些用于多种操作或在将来用于多种操作的通用信息类型或者使用这些信息类型定义更复杂的或自包含的信息类型某些用于定义目录的信息类型在其他地方定义中标识这些类型并指出其定义的来源其他各条到则分别标识和定义信息类型在其他标准中定义的信息类型以下信息类型在中定义属性属性类型属性值属性值断定可辨别名名字相关可辨别名下面信息类型在
9、中定义表示地址下面信息类型在中定义凭证签名证明路径下面信息类型在中定义调用下面信息类型在中定义操作进展连续引用公共自变量公共自变量信息可以出现以限定目录能执行的每一个操作的调用以上各个成分的含义分别在到中定义成分在中规定缺省时表示控制为空集成分在中规定缺省时表示安全参数为空集可辨别名标识某个抽象操作的始发者它包含用户与目录建立联编时使用的用户名字当要对请求签名见时可以要求这个成分并且包含发起请求的用户的名字定义在请求的分布式评价中所扮演的角色评见中的定义成分指示一个其操作的客体成分是以前的操作在企图没有引用别名时建立的整数值指明客体中的数量它来自没有引用的别名该值必须在以前操作的参照指示响应中
10、设置成分提供了一种机制以列出一组相对目录抽象操作的执行来说是临界的扩展似乎扩展抽象操作的始发者希望指明该操作必须和一个或多个扩展一起执行即没有这些扩展的操作是不能接收的这种执行是通过设置与该扩展相对应的位而进行的如果目录和目录的某部分不能执行一个临界扩展它返回一个指示作为一个或一个如果该目录不能报告一个非临界的扩展则它忽略扩展的存在公共结果信息必须出现以限定目录所执行的每个恢复操作的结果以上各成分的含义在到中定义成分在中规定缺省时表示安全参数为空集可辨别名标识某个特定操作的执行者当要对结果签名时见可以要求该成分并包含签名该结果的的名字当某个客体作为该操作的目标的基客体的声称名并包括没有引用的别
11、名时成分置为服务控制参数包含指导或限制提供服务的控制信息以上各成分的含义在到中定义成分包含一组指示对于其中每个指示如果设置则确立所建议的条件因此指示优选链接而非参照指示用于提供目录服务不要求目录遵循这种优选指示禁止链接和其他在目录中分布请求的方法指示操作只局限于本地范围本选项的定义本身属于本地事件例如该指示操作只属于单个或单个指示不用中定义的信息拷贝来提供服务指示用来标识由操作所涉及的项所用的别名是不被还原的注必需允许引用别名项本身而不是混名项例如为了读别名项如果该成分缺省则采用下面假定不优选链接但也不禁止链接不限制操作的范围允许使用拷贝并且也可以还原别名除非决不还原别名的修改操作提供服务的优
12、先级低中高应注意这样不保证基本上不实现排队的目录的服务不隐含与低层使用优先级的关系指示最大持续时间以秒计数服务只在规定的时间内提供如果不能满足限制则报告差错如果该成分缺省则不隐含时间限制如果或超过时限则结果是已累计结果的任意选择注该元素并不隐含在持续时间内请求处理所花费的时间在持续时间内的请求处理可以包含多个仅可用于和操作它指示返回的客体的最大数目当超出这个限制时和的结果可以是已累计结果的任意选择数目等于该限制废弃任何更多的结果指示由一个返回的参照指示的范围根据所选的或的值只返回所选定范围内的对其他的参照指示它适用于和结果中的差错和参数两者和的某些组合可能导致矛盾例如短时间限制可能与低优先权矛
13、盾高数目限制可能与短时间限制矛盾项信息选择参数指示在恢复服务中某个项所请求的哪些信息空集隐含不要求属性请求以上各个成分的含义在和中定义成分规定请求信息的属性如果选择选项则列出所包含的属性如果列表为空则不返回属性如果属性存在则返回所选属性的有关信息如果没有所选的属性存在则返回并指明差错原因为如果选择选项则请求项中的全部属性的有关信息如果满足访问权限要求则只返回属性信息如果请求不能满足读全部属性的权限要求则返回并指明差错原因为成分规定是请求属性类型和属性组信息缺省情况下还是只请求属性类型信息如果成分为不请求属性则该成分无意义项信息参数运送从项中选择的信息通常应包括项的参数为时则指示从项中取得信息否
14、则为项的拷贝即该参数为如果要求包括和的集合则其中每个属性类型既可以独立存在又可以与多个属性值一起存在筛选器参数提供一个测试该测试或被特定项满足或不被满足筛选器参数根据项的某些属性或属性值是否存在的断定来表示当且仅当判断为时才能满足注筛选器可以为或未定义或为一个或为由简单通过逻辑操作符和构成的一个表达式一个它是具有值的即或未定义见一个如果该集合为空或如果每个筛选器为则该是筛选器集合为的如果至少有一个筛选器为则该是一个如果该集合为空或如果每个筛选器为则该是筛选器集合为的如果至少有一个筛选器为则该是否则该是未定义的即如果至少有一个筛选器是未定义的以及没有筛选器为一个如果筛选器为则该是筛选器为的如果筛
15、选器为则该是如果筛选器为未定义的则该是未定义的为关于被测项中某个特定类型的属性或属性值是否存在的一个断定每个这样的断定可以为或未定义每个都包含一个用于标识所涉及的特定属性只有当被判断机制已知并且其相应符合该属性类型定义的属性语法时则关于这样一个属性值的任何断定才予以定义注当上述条件不成立时为未定义访问控制限制可能要求将看作是未定义的对一个属性的值的断定使用与为这种属性类型定义的属性语法相关的匹配规则来评价未对某个特定的属性语法定义的匹配规则不能用来对该属性作出断定注如果该条件不能满足则为未定义可以是未定义的见和否则确定如下规则当且仅当属性值与确定的相等时其为真当且仅当属性值划分成如下几部分时其
16、为真按照串序列的顺序规定的子串与值不同部分匹配如果存在则匹配值的第部分如果存在则匹配值的最后部分如果存在则匹配值的任意部分串中最多只有一个也最多只有一个如果存在它应是串的第一个元素如果存在它应是串的最后一个元素串中的应是零个或多个当且仅当相关排序由适当的排序算法定义将提供的值置于属性的任意值之前或至少等于属性的一个值时它为当且仅当相关排序由适当的排序算法定义将提供的值置于属性的任意值之后或至少等于属性的一个值时它为当且仅当项中出现这种属性时它为当且仅当有一个属性值与本地定义的逼近匹配算法例如拼写变化语音匹配等确定的属性值匹配时则它为在本标准的该版本中没有逼近匹配的专门指南如果不支持逼近匹配则将
17、该看作匹配来处理安全参数控制与目录操作有关的各种安全特性的操作注安全参数由发送方运送给接收方当这些参数作为抽象操作的自变量出现时请求方为发送方执行方为接收方反之亦然以上各成分在到中定义成分包含发送方凭证也可有选择地包含凭证对的序列该凭证用于与发送方的公开密钥和可辨别名建立联系并可用于对自变量或结果的签名进行验证如果自变量或结果被签名则该参数应出现凭证对的序列由凭证机构的交叉凭证组成它用来使发送方的凭证有效如果接收方共享与发送方同一凭证机构则不要求凭证对的序列如果接收方要求一组有效的凭证对而该参数又没有出现则接收方是接收还是拒绝关于自变量或结果的签名或试图生成凭证路径属本地的事件是指自变量或结果
18、的第一个预期接收方的可辨别名例如如果一个产生一个签名的自变量则该名字为操作所递交的的可辨别名当使用签名的自变量时为签名有效的期满时间它与一个随机数一起用来检测重操作攻击是每个未期满权标的不同数它和时间参数一起在自变量或结果被签名时用于检测重操作攻击可以仅出现在要求执行操作的请求中并指出请求者对提供给结果的保护的优选等级现提供两种等级没有请求保护缺省和请求目录对结果进行签名实际提供给结果的保护等级由结果的格式指出并且可能等于或低于所请求的等级这主要取决于目录的限制有选择地签名对于信息类型来说其值可以有赖于发起方的选项带有数字签名这种能力由下列宏定义方法来规定描述信息的签名格式的宏在中规定联编和断
19、联操作和操作分别在和中定义是由在对目录的访问的特定周期的开始和终止时使用操作用于开始一个目录访问周期在多数情况下使用保护口令机制进行对话时时间的随机数自变量是彼此关联的其含义可由双方约定确立该值可能是一个未保护口令或保护或保护如中规定的上述各自变量的含义在到中定义中的自变量允许目录建立用户的身份他们可以是如描述的外部过程或外部定义的外部过程由一个名字通常为一个客体的可辨别名和一个口令可选组成它提供有限的安全等级如果口令按第章所描述的方式加以保护那么包含名字口令以及用于检测重操作攻击的时间和或随机数可选在有些情况下一个受保护的口令可能被一个知道这个口令的客体检验该客体在本地对该口令的拷贝再进行保
20、护并用联编自变量的值对结果进行计算之后再作这种检验在其他情况下则可能采用直接比较的方法由一个联编权标一个凭证可选地一组凭证机构的交叉凭证见和请求者的名字构成它使得目录能够鉴别请求建立联系的身份反之亦然联编权标的自变量用作如下是用于签收某种信息的算法标识符该标识如同的值记法中定义的其名是预期接收的名参数包含权标的期满时间为每个未期满权标的不同数并可被接收方用来检测重操作攻击如果使用则使用的签别机制的语义超出了本标准的范围的自变量标识准备参与的服务版本对于本协议来说的值应置为今后的新版目录必须通过下列方法方便地转移非本标准中定义的的任意成分可被接受或不理睬中未定义的命名位的附加选项例如可被接受或不
21、理睬如果联编请求成功则返回结果结果参数的含义见和中定义的允许用户建立的身份它们允许标识该的信息直接提供的目录服务能被运送给其格式即与用户支持的相同的参数指示请求的服务的版本确实由本提供如果请求失败则返回联编差错如和中定义的参数指示该支持的版本支持的或如下操作用于终止一个目录访问周期没有自变量目录读操作有两种读类操作和分别在和中定义为方便起见将操作在中定义也归入读操作操作用来从一个明确标识的项中提取信息也可用于核对一个可辨别名操作的自变量可以有选择地被请求方签名见如果请求这样则目录可以对结果签名上述各自变量的含义分别在到中定义自变量标识被请求信息的客体项如果名字中包含一个或多个别名则还原别名除非
22、相关服务控制禁止这样自变量指示从项中请求哪些信息见包括适用于该请求的服务控制规范对于该操作不使用成分如果提供也不理睬如果请求成功则返回结果结果参数的含义在和中定义结果参数中持有请求的信息见如果请求失败则报告所列的差错之一如果在中所列出的属性没有返回则报告带有问题的所返回的其他差错的详情见第章定义操作用于将一个值作为请求的自变量提供与某个特定客体项的特定属性类型的值进行比较该操作的自变量可以有选择地被请求者签名见如果请求这样则目录也可以对结果签名上述各自变量的含义在到中定义自变量为所涉及的客体项的名字如果中包含一个或多个别名则还原别名除非相关的服务控制禁止这样自变量标识项中要进行比较的属性类型和
23、值见规定适用于该请求的服务控制对于该操作不使用成分如果提供也不理睬如果请求成功即确实执行了比较则返回结果结果参数的含义如到和中描述如果还原别名则使用并且表示客体自己的可辨别名结果参数包含比较的结果如果值已被比较并且匹配则该参数取值为否则为如果信息与项进行比较为如果信息与某个拷贝进行比较则为如果请求失败则报告所列出的差错之一返回的某些特殊差错的详情在第章中定义如果用户不再对操作结果感兴趣的话对目录查询的操作可以用操作予以放弃该操作只有一个自变量即它标识将放弃的操作的值与用于调用被放弃的操作的相同如果请求成功则返回结果但并不随之运送任何信息发起的操作失败是因为差错如果请求失败则报告差错作为事件可以
24、选择不放弃操作并返回差错该差错在中的描述只适用于查询类操作即和可以在本地放弃一个操作如果这个已经将操作链接或组播到其他它可以依次请求其他放弃这个操作目录搜索操作有两种搜索类操作和分别在和中定义操作用来获得标识项的直接下级列表在某些情况下返回的列表可能并不完全该操作的自变量可被请求者有选择地签名见如果请求这样目录可以对结果签名上述自变量的含义在和中定义自变量标识客体项也可能是根其直接下级将被列出如果中包含一个或多个别名则它们被还原除非相关的服务控制禁止这样如果客体被定位不管是否返回任何下级信息请求都为成功结果参数的含义在到和中定义如果还原别名则使用它表示客体本身的可辨别名参数运送命名项如有的直接
25、下级的信息如果直接下级项中有别名项则不能被还原为下级项的相关可辨别名指示是从项中获得信息当该参数为时还是从项的拷贝中得信息当该参数为时参数指示下级项是别名项当该参数为时或不是别名项当该参数为时由到中定义的三个子成分构成无论结果是否完全均使用该参数参数指示是否超出时间限制大小限制或管理限制当限制已达到时返回的结果为可用的结果如果没有超出的范围则使用参数如果这样选择其信息允许继续连接其他访问点以便处理操作该参数由一组也可能空构成其中每个成分都包含一个进行该操作的基客体名一个恰当的的值和一组可从其进一步进行请求的访问点返回的不应超出在操作服务控制中请求的参照范围参数指示在目录的某些部分不可用一个或多
26、个临界扩充如存在当请求了已签名的保护请求时参数可以由许多组源于目录的不同成分并被签名的结果参数组成如果在链接中没有能与所有的结果发生联系则必须从各个不同的部分收集实际结果如果请求失败则报告所列出的差错之一应报告的其他特定差错的情况在第章中定义操作用于在中搜索感兴趣的项并返回从这些项中选择的信息请求者可对该操作的自变量进行有选择地签名见如果这样请求目录也可对结果签名上述自变量的含义在到和中定义自变量标识与进行搜索有关的客体项或可能是根自变量指示搜索是否适用于只有只有的直接下级某一级及其下级整个子树自变量用于在搜索空间中剔除某些不感兴趣的项只返回满足筛选器项中的信息当定位基客体时还原别名并服从所设
27、置的在搜索期间基客体的下级中的别名被还原并服从所设置的参数如果参数为则还原别名如果参数为则不还原别名如果参数为则在别名化客体的子树中继续搜索自变量指示从项中请求什么信息见如果被定位不管是否有返回下级请求均为成功注据此推理适用于单个项的无筛选的操作的输出结果可能不同于操作的结果对于该项的同一组属性的检索查询来说这是因为如果没有所选的属性存在时后者在项中返回结果参数的含义在到和中定义如果还原别名则使用并表示这个基客体的可辨别名参数从每个满足筛选器的项零个或多个运送请求的信息见由中为操作描述的三种子成分组成参数如中对的描述如果请求失败则报告所列出的差错之一应报告的其他特定差错的情况在第章中定义目录修
28、改操作有四种修改目录的操作即和分别在到中定义注每一种抽象操作都用其可辨别名来标识其目标客体和操作的成功依赖于目录的的物理分布操作失败时报告并指出问题为见操作用于在中增加一个叶项或为客体项或为别名项请求者可以对操作的自变量签名见上述各自变量的含义在到中定义自变量标识将被增加的项为了操作的成功其直接上级必须已经存在并可通过删除最后属于待建立的项成分来确定自变量包含与来自的信息一道组成待建立的项的属性信息目录应保证该项与目录模式一致如果建立的项是别名项则不需为确保属性指向一个有效项而进行检查见包括适用于这种请求的服务控制规范对于这种操作选项和成分不再适用即便提供也不理睬本操作决不还原别名如果请求成功
29、则返回结果不管是否有任何信息随之运送如果请求失败则报告所列出的差错之一应报告的其他特定差错的情况在第章中定义操作用来从中删除一个叶项可以是客体也可以是别名项该操作的自变量可被请求者有选择地签名见以上自变量的含义在和中定义自变量标识要删除的项名字中的别名不被还原见包括适用于这种请求的服务控制规范对于这种操作选项和成分不再适用即便提供也应不理睬该操作决不还原别名如果请求成功则返回一个结果不管是否有信息随之运送如果请求失败则报告所列出的差错之一应报告的其他特定差错的情况在第章中定义操作用来对单个项执行下面一个或多个修改增加一个新属性删除一个属性增加属性值删除属性值替代属性值修改别名该操作的自变量可被
30、请求者有选择地签名见以上自变量的含义在和中定义自变量标识将要修改的项名字中任何别名都不被还原自变量定义满足指定次序的一序列修改如果各个修改失败则产生一个并且该项保持修改操作前的状态也就是说该操作是基本的这一序列修改的最终结果不能违背目录模式但是对各自的修改是可能的有时也是必要的下列修改类型可能出现它标识要为项增加的新的属性它完全由自变量规定任何试图增加一个已存在的属性都将产生它标识要从项中删除的属性任何试图删除不存在的属性都将产生注如果该属性类型存在于中不允许这种操作它通过自变量的属性类型标识一个属性并规定要为这个属性增加的一个或多个属性值试图增加一个已存在的值将产生差错同样试图为一个不存在的
31、类型增加一个值也将产生差错它通过自变量中属性类型标识一个属性并规定要从这个属性中删除的一个或多个属性值如果属性中的值不存在则产生如果试图修改客体类属性则返回注如果在中存在这样的一个值则不允许这种操作属性值可以通过单个操作中的和来替换见包括适用于这种请求的服务控制规范对于这种操作选项和成分不再适用即使提供也不理睬该操作不还原别名如果请求成功则返回结果而不管是否有信息与之一起运送如果请求失败则报告所列出的差错之一应报告其他特定差错的情况在第章中定义操作用来改变中的叶项或为客体项或为别名项的相关可辨别名该操作的自变量可被请求者有选择地签名见上述各参数的含义在到中定义自变量标识其相关可辨别名将被修改的
32、项名字中的别名不被还原其直接上级项没有任何非特定的下级引用见自变量规定该项的新如果在项中不存在新中的属性值则增加这个属性值该项可以是旧的一部分也可以是一个不可辨别名的值如果不能增加则返回一个差错如果设置标志则不在新中的所有旧的属性值均被删除如果没有设置这个标志则在该项中不作为的一部分保留这些旧值当该操作改变中的单个属性值时则设置该标志如果该操作删除一个属性的最后一个属性值则删除这个属性见包括适用于这种请求的服务控制规范对于这种操作选项和成分不再适用即使提供也不理睬本操作不还原别名如果操作成功则返回结果而不管是否有信息随之一起运送如果操作失败则报告所列出的差错之一返回的其他特定差错的情况在第章中
33、定义正如本系列标准所定义的本操作只用于叶项差错差错优先级当在某访问点检测到将报告的差错时目录便终止该访问点上的操作注本规则的一个意义是所涉及的第一个差错可以不同于其他重复同样查询的实例这是因为对于所给的查询并没有一个特定的逻辑处理顺序例如可按不同的次序搜索各个这里所指定的差错优先级规则只适用于整个目录所提供的抽象服务当考虑目录的内部结构时可以应用不同的规则如果目录同时检测到多个差错应报告按下表指明的哪些差错列表中较高的差错逻辑上先于较低的差错加以报告下列差错不存在任何优先级冲突因为该差错特限于操作可以不考虑其他差错如果在收到操作的同时收到差错检测报告则不报告在情况下报告差错问题与已遇到的实际差
34、错一起加以报告并不是一个实际差错它只指示目录觉察到必须向其他访问点提出请求对于任何未解决的目录查询操作即和操作如果用适当的调用操作则报告这个结果不是通常所说的差错没有任何参数与这种差错有关差错报告在试图放弃某个操作时遇到的问题上述各参数的含义在和中定义遇到的特定问题要被指定下列任何问题都可能被指出当目录不知道要放弃的操作这可能是因为没有产生这样的调用或目录已忘记这个操作时当目录已经响应了要放弃的操作时当已经尝试过放弃被禁止例如修改或不能执行放弃时要放弃的某个特定操作调用的标识报告与属性有关的问题上述各参数的含义在和中描述参数标识当出现差错时该操作所适用的项可以指定一个或多个问题下面标识的每一个
35、问题都通过指示产生下列问题的属性和在必要时为避免混淆而使用的属性值构成命名项缺少操作的自变量中指定的属性或属性值操作的自变量中指定的属性值与属性类型的属性语法不一致操作的自变量中提供了未定义的属性类型该差错只与或操作有关时才出现对于所涉及的属性类型试图使用未定义的匹配规则即在筛选器中抽象操作的自变量中提供的属性值不符合中或属性定义中施加的限制例如属性值超出了最大允许的大小试图在项中增加一个已存在的属性或在属性中增加一个已存在的值报告与该操作的自变量中提供的名字有关的问题上述各参数的含义在和中描述涉及到的特定问题将被指定可以指示下列任何问题提供的名字与任何项的名字不匹配已经还原没有客体的别名名字
36、的中的属性类型和属性值不兼容别名出现在未经许可的地方参数包含在中匹配的最低项或为客体项或为别名项的名字并提供通过还原别名产生结果的名字的缩略语形式注如果目录操作的自变量内提供的名字中的属性类型和或属性值存在问题则报告并指出问题是而不是报告或将服务用户重定向到能更好执行所请求的操作的已装备的一个或多个访问点不是通常意义的差错该差错各有单个参数它包含一个它可用来进行操作见报告在执行操作时安全原因的问题该差错是有单个问题参数它报告所涉及的特定问题下列问题可以被指出与请求者的凭证相关的安全等级与所请求的保护等级不一致例如当要求强有力的凭证时却提供了简单的凭证提供的凭证无效请求者没有权力执行该请求的操作
37、请求的签名无效目录不愿执行该请求的操作因为自变量没有被签名请求的操作因没有可用的信息而产生一个安全差错报告与提供的服务有关的问题该差错具有单个参数报告所涉及的特定问题下列问题可以被指出目录或目录的一部分太忙不能执行请求的操作但可在滞后一段时间后执行目录或目录的一部分当前不可用目录或目录的一部分不准备执行该请求例如因为可能导致过分消耗资源或违反所涉及的公用管理机构的章程目录不能完成请求除非进行链接但是禁止链接被服务控制的选项返回该差错的没有进行适当命名的公用管理机构其结果是不能参与名字解析不能执行指示的请求通过这可能由于使用非法的参照指示引起目录已到达用户在服务控制中设置的时间极限并不给用户返回
38、单独结果目录已到公用管理机构设置的某个极限无结果返回到用户目录因为内部循环不能完成请求目录因为一个或多个临界扩充不可用而造成不能执行请求在请求的范围内没有可用的参照指示因为的连贯性问题目录不能完成请求报告与试图增加删除或修改中的信息有关的问题该差错具有报告所涉及的特定问题的单个参数下列问题可以被指出试图的增加或修改违反了中及目录模式中定义的的结构规则也就是说将项作为别名项的下级或的范围内不允许成为其客体类的成员或为了项定义的包含禁止的属性类型试图的更新所产生的项与其客体类所提供的定义或中为其客体类提供的定义不一致试图的操作只允许对的叶项进行试图的操作影响例如删除作为的一部分属性试图的或操作命名
39、了已存在的项试图的更新需要操作不允许的多个试图修改客体类属性的操作注不用于报告与属性类型属性值或在或中涉及的违反限制等问题这些问题均通过报告附录标准的附录用表示的抽象服务本附录包括本标准中给出的所有类型值和宏定义并以模块的形式给出用于表示可选签名的宏客体和端口联编和断联该值可能是一个未保护口令或保护或保护如中规定的操作自变量和结果GB/T 16264.3-199日COM盯PO侧NE因NT四SO盯FCommmonAr耶E肌umenReadRe田噶叫ult: : =OPTIONAL-SIGNED SET entry OJ EntryInformation , COMPONENTS OF Commo
40、nR刷ltsCompare : : =ABSTRACT -OPERA TION ARGUMENT CompareArgument RESUL T CompareResult ERRORS AttributeError ,NameError , ServiceError ,Referral ,Abandoned , SecurityError CompareArgument : : =OPTION ALL Y -SIGNED SET object OJ Name , purported IJ AttributeValueAssertion, COMPONENTS OF CommonArgumen
41、ts CompareResult : : =OPTIONAL-SIGNED SET DistinguishedName OPTIONAL , matched OJ BOOLEAN, fromEntry IJ BOOLEAN DEFAULT TRUE , COMPONENTS OF CommonRes山sAbandon : =ABSTRACT-OPERATION ARGUMENT AbandonArgument RESULT AbandonResult ERRORS AbandonFailed AbandonArgument : : =SEQUENCE lnvokelD OJ lnvokelD
42、AbandonResult : =NULL List : =ABSTRACT-OPERATION ARGUMENT ListArgument RESUL T ListResult ERRORS NameError ,ServiceError, Referral ,Abandoned , SecurityError ListArgument : : =OPTION ALL Y -SIGNED SET object OJ Name , COMPONENTS OF CommonArguments ListResult : =OPTIONALLY-SIGNED CHOICE listInfo SET
43、DistinguishedName OPTIONAL , subordinates lJ SET OF SEQUENCE RelativeDistinguishedName, aliasEntry OJ BOOLEAN DEFAULT FALSE, 仕omEntryIJ BOOLEAN DEFAULT TRUE 27 28 GB/T 16264.3-199日partialOutcomeQualifier 2J partialOutcomeQualifier OPTIONAL COMPONENTS OF CommonR四ults, uncorrelatedListInfo OJ SET OF L
44、istResults PartialOutcomeQualifier : : =SET limitProblem OJ LimitProblem OPTIONAL , un四ploredIJ SET OF ContinuationReference OPTIONAL , unavailableCriticalExtensions 2J BOOLEAN DEFAULT FALSE LimitProblem : =INTEGER timeLimitExceeded(O) , sizeLimitExceeded (1), administrativeLimitExceeded (2) Search
45、: =ABSTRACT-OPERATION ARGUMENT SearchArgument RESUL T SearchResult ERRORS Attribut由ror,Nam,由ror,ServiceError ,Referral ,Abandon , SecurityError SearchArgument baseObject : =OPTIONALLY -SIGNED SET OJ Name, subset IJ lNTEGER baseObject (0) , oneLevel (1), wholeSubtree(2) DEFAULT baseObject , filter 2J
46、 Filter DEFAULT and (), searchAliases 3J BOOLEAN DEFAULT TRUE, selection 4J EntryInformationSelection DEFAULT , COMPONENTS OF CommonArgument SearchResult : =OPTIONALLY-SIGNED CHIOCE searchlnfo SET 阴阳tinguishedNameOPTIONAL, entries OJ SET OF EntryInfomation , partialOutcomeQualifier 2J partialOutcome
47、Qualifier OPTIONAL , COMPONENTS OF CommonR四川ts, uncorrelatedSearchInfo OJ SET OF SearchResult AddEntry : =ABSTRACT-OPERATION ARGUMENT AddEntryArgument RESUL T AddEntryResult ERRORS AttributeError ,NameError , ServiceError ,Referral ,SecurityError , U pdateError AddEntryArgument : : =OPTIONALL Y -SIG
48、NED SET object OJ DistinguishedName, entry IJ SET OF Attribute, GB/T 16264.3-199日COMPONENTS OF CommonArguments AddEntryResult : : =NULL RemoveEntry : : =ABSTRACT -OPERATION ARGUMENT RemoveEntryArgument RESUL T RemoveEntryResult ERRORS ( NameError ,ServiceError, Referral ,SecurityError, U pdateError
49、) RemoveEntryArgument : : =OPTIONALL Y -SIGNED SET ( objcet OJ四stinguishedName,COMPONENTS OF CommonArguments) RemoveEntryResult : : =NULL ModifyEntry : =ABSTRACT-OPERATION ARGUMENT ModifyEntryArgument RESUL T ModifyEntryResult ERRORS ( AttributeError ,NameError , ServiceError ,Referra1 ,SecurityError, U pdateError ) ModifyEntryArgument : =OPT
